25 sierpnia 2021

Krajowe Ramy Interoperacyjności

Krajowe Ramy Interoperacyjności to minimalne wymogi dla podmiotów realizujących zadania publiczne, określone w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Głównym celem wytycznych jest poprawa bezpieczeństwa informacji oraz dostarczenie kierownictwu jednostki audytowanej rzetelnej i obiektywnej oceny działania badanego obszaru.

AUDYT WEWNĘTRZNY BEZPIECZEŃSTWA INFORMACJI

Jednym z wymogów, które KRI stawia przed sektorem publicznym jest realizacja okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji. Audyt taki należy przeprowadzać okresowo, nie rzadziej jednak niż raz na rok (par. 20 ust. 2 pkt 14 Rozporządzenia KRI).

Podczas audytu sprawdzany jest;

  • poziom bezpieczeństwa informacji w systemach teleinformatycznych,
  • realizacja obowiązków wynikających z Rozporządzenia KRI,
  • wdrożone środki techniczne i organizacyjne

Audyty przeprowadzamy w oparciu o samoocenę jednostki audytowanej, przegląd posiadanej dokumentacji dot. bezpieczeństwa informacji, jak również ochrony danych osobowych, wywiad z kierownictwem jednostki, wiadomości uzyskane od osób zajmujących się utrzymaniem i wsparciem systemów oraz obserwacje audytora.

NASZ AUDYT KROK PO KROKU

  • przeprowadzenie narady otwierającej (na której omawiane są kluczowe kwestie audytu, sposób w jaki będzie prowadzony, uzgadniamy niezbędną do wglądu dokumentację w celu należytego przeprowadzenia audytu, odpowiadamy na Państwa pytania oraz wyjaśniamy wątpliwości)
  • przekazanie samooceny kierownictwu jednostki audytowanej (ten etap pozwala na odpowiednie przygotowanie się audytorowi wewnętrznemu, daje pogląd na stan systemów teleinformatycznych, to przekazanie kluczowych informacji, które na dalszych etapach będą podlegały skrupulatnej weryfikacji)
  • przystąpienie do realizacji audytu (audytor sprawdza wszystkie urządzenia oraz systemy wchodzące w skład infrastruktury jednostki audytowanej, sporządza notatki, zbiera dowody audytowe (w postaci np. zdjęć), prowadzi rozmowy z pracownikami, informatykami, a także przegląda stan i określa zupełność wdrożonej dokumentacji.

W zależności od wielkości jednostki audytowanej, audyt ten może trwać od jednego do nawet kilkunastu dni.

Audyt kończy się przekazaniem szczegółowego sprawozdania, które zawiera;

  • opis zastanego stanu faktycznego oraz wykrytych uchybień
  • rekomendowane działania, które mają na celu spełnienie wymagań KRI oraz zwiększenie poziomu bezpieczeństwa informacji w jednostce.